% путь к рисункам
\graphicspath{{images/}}



\chapter{Межсетевой экран, виды межсетевых экранов}
\section{Виды межсетевых экранов}
Межсетевой экран --- это система межсетевой защиты, позволяющая
разделить одну сеть на две или более части и реализовать набор правил,
определяющих условия прохождения пакетов с данными через границу из
одной части общей сети в другую. Как правило, эта граница проводится
между корпоративной сетью предприятия и глобальной сетью Internet,
хотя её можно провести и внутри корпоративной сети предприятия.  По
уровням модели ISO/OSI межсетевые экраны делятся на следующие
категории:
\begin{itemize}
\item фильтрующие маршрутизаторы;
\item шлюзы сеансового уровня;
\item шлюзы прикладного уровня.
\end{itemize}
Эти категории можно рассматривать как базовые компоненты реальных
межсетевых экранов. Лишь немногие межсетевые экраны включают в себя
только одну из перечисленных категорий. Тем не менее, эти категории
отражают ключевые возможности, отличающие межсетевые экраны друг от
друга.

\subsection{Фильтрующий маршрутизатор }
Фильтрующий маршрутизатор представляет собой маршрутизатор или
работающую на сервере программу, сконфигурированную таким образом,
чтобы фильтровать все входящие и исходящие пакеты.  Фильтрующий
маршрутизатор фильтрует IP-пакеты на основе групп следующих полей
заголовка пакета:

\begin{itemize}
\item IP-адрес отправителя;
\item IP-адрес получателя;
\item порт отправителя;
\item порт получателя.
\end{itemize}

Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса
маршрутизатора пришёл пакет, и затем использую эту информацию как
дополнительный критерий фильтрации.

Фильтрация может быть реализована различным образом для блокирования
соединений с определёнными хост-компьютерами или портами. Например,
можно блокировать соединения, идущие от конкретных адресов тех
хост-компьютеров и сетей, которые считаются враждебными или
ненадёжными.

Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам
обеспечивает большую гибкость. Стандартные сервисы типа TELNET обычно
связаны с конкретными портами. Внутренняя сеть может блокировать все
входные соединения со всеми хост-компьютерами за исключением
нескольких систем. Для этих систем могут быть разрешены только
определённые сервисы (SMTP для одной системы и TELNET для другой)
(см. рис.~\ref{fig:gor:1}). При фильтрации по портам TCP и UDP эта
политика может быть реализована фильтрующим маршрутизатором или
хост-компьютером с возможностью фильтрации пакетов.

\begin{figure}[!htp]
\centerline{\includegraphics[width=0.8\textwidth]{1.eps}}
\caption{Схема фильтрации трафика SMTP и TELNET}
\label{fig:gor:1}
\end{figure}

Однако даже если администратору удастся создать эффективные правила
фильтрации, их возможности остаются ограниченными. Межсетевой экран,
работающий только на сетевом уровне эталонной модели ISO/OSI,
проверяет информацию, содержащуюся только в IP-заголовках
пакетов. Поэтому обмануть его несложно. Хакер создаёт заголовок,
который удовлетворяет разрешающим правилам фильтрации. Кроме заголовка
пакета никакая другая информация не проверяется.  К положительным
качествам фильтрующих маршрутизаторов можно отнести:

\begin{itemize}
\item  сравнительно невысокую стоимость;
\item  гибкость в определении правил фильтрации;
\item  небольшую задержку при прохождении пакетов.
\end{itemize}

Недостатки фильтрующих маршрутизаторов:

\begin{itemize}
\item внутренняя сеть маршрутизируется из сети Internet;
\item правила фильтрации пакетов трудны в описании;
\item при нарушении работоспособности межсетевого экрана с
    фильтрацией пакетов все компьютеры за ним становятся полностью
    незащищёнными либо недоступными;
\item аутентификацию с использованием IP-адреса можно обмануть
    путём подмены IP-адреса;
\item отсутствует аутентификация на пользовательском уровне.
\end{itemize}

\subsection{Шлюз сеансового уровня }
Шлюзы сеансового уровня исключают прямое взаимодействие между
авторизованным клиентом и внешним хост-компьютером. Он принимает
запрос доверенного клиента на конкретные услуги и после проверки
допустимости запрошенного сеанса устанавливает соединение с внешним
хост-компьютером. После этого шлюз копирует пакеты в обоих
направлениях, не осуществляя их фильтрации.

Шлюз следит за квитированием связи между авторизованным клиентом и
внешним хост-компьютером, определяя, является ли запрашиваемый сеанс
связи допустимым. Он проверяет, удовлетворяет ли этот клиент базовым
критериям фильтрации (например, может ли DNS-сервер определить
IP-адрес клиента и ассоциированное с ним имя).

После того, как шлюз определил, что доверенный клиент и внешний
хост-компьютер являются авторизованными участниками сеанса TCP, и
проверил допустимость этого сеанса, он устанавливает соединение. Шлюз
поддерживает таблицу установленных соединений, пропуская данные,
относящиеся к одному из сеансов связи, зафиксированных в этой
таблице. Когда сеанс завершается, шлюз удаляет соответствующую запись
из таблицы и разрывает цепь, использовавшуюся в данном сеансе.

Шлюз сеансового уровня выполняет ещё одну важную функцию защиты --- он
используется в качестве сервера-посредника. Этот сервер-посредник
выполняет процедуру трансляции адресов, при которой происходит
преобразование внутренних IP-адресов в один <<надёжный>> IP-адрес. Этот
адрес ассоциируется с межсетевым экраном, из которого передаются все
исходящие пакеты. В результате в сети со шлюзом сеансового уровня все
исходящие пакеты оказываются отправленными из этого шлюза, что
исключает прямой контакт между внутренней (авторизированной) сетью и
потенциально опасной внешней сетью. IP-адрес шлюза сеансового уровня
становится единственно активным IP-адресом, который попадает во
внешнюю сеть. Таким образом, шлюз сеансового уровня и другие
серверы-посредники защищают внутренние сети от нападений типа подмены
IP-адресов.

После установления связи шлюзы сеансового уровня фильтруют пакеты
только на сеансовом уровне модели ISO/OSI, т.е. не могут проверять
содержимое пакетов, передаваемых между внутренней и внешней сетью на
уровне прикладных программ. И поскольку эта передача осуществляется <<в
слепую>>, хакер, находящийся во внешней сети, может <<протолкнуть>> свои
«вредоносные» пакеты через такой шлюз.

Для того, чтобы фильтровать пакеты, генерируемые определёнными
сетевыми службами в соответствии с их содержимым, необходимо
использование шлюза прикладного уровня.

\subsection{Шлюз прикладного уровня }
Межсетевые экраны, использующие дополнительные программные средства
для фильтрации сообщений на прикладном уровне, называются полномочными
серверами или серверами-посредниками, а хост-компьютер, на котором они
выполняются, --- шлюзом прикладного уровня.

Шлюз прикладного уровня также исключает прямое взаимодействие между
авторизованным клиентом и внешним хост-компьютером. Шлюз фильтрует все
входящие и исходящие пакеты на прикладном уровне.

Для достижения более высокого уровня безопасности и гибкости шлюзы
прикладного уровня и фильтрующие маршрутизаторы могут быть объединены
в одном межсетевом экране.

Преимущества использования полномочных серверов-посредников:

\begin{itemize}
\item полномочные сервера-посредники пропускают только те
    службы, которые им поручено обслуживать.
\item полномочные сервера-посредники обеспечивают возможность
    фильтрации протокола. Например, некоторые межсетевые экраны,
    использующие шлюзы прикладного уровня, могут фильтровать
    FTP-соединения и запрещать использование FTP-команды put, что
    гарантированно не позволяет пользователям записывать информацию на
    анонимный FTP-сервер.
\end{itemize}

Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень
защиты, поскольку взаимодействие с внешним миром осуществляется через
небольшое число прикладных полномочных программ-посредников, полностью
контролирующих весь входящий и исходящий трафик.

Преимущества шлюзов прикладного уровня следующие:

\begin{itemize}
\item невидимость структуры защищаемой сети из глобальной сети
    Internet. Имена внутренних систем можно не сообщать внешним
    системам через DNS, поскольку шлюз прикладного уровня может быть
    единственным хост-компьютером, имя которого должно быть известно
    внешним системам.
\item надёжная аутентификация и регистрация. Прикладной трафик
    может быть аутентифицированным прежде, чем он достигнет внутренних
    хост-компьютеров, и может быть зарегистрированным более
    эффективно, чем с помощью стандартной регистрации.
\item простые правила фильтрации. Правила на фильтрующем
    маршрутизаторе оказываются менее сложными, чем они были бы, если
    бы маршрутизатор сам фильтровал прикладной трафик и отправлял его
    большому числу внутренних систем. Маршрутизатор должен пропускать
    прикладной трафик, предназначенный только для шлюза прикладного
    уровня, и блокировать весь остальной трафик.
\item возможность организации большого числа проверок. Защита на
    уровне приложений позволяет осуществлять большое количество
    дополнительных проверок, что снижает вероятность взлома с
    использованием <<дыр>> в программном обеспечении.
\end{itemize}

К недостаткам шлюзов прикладного уровня относятся:
\begin{itemize}
\item более низкая производительность по сравнению с
    фильтрующими маршрутизаторами; в частности, при использовании
    клиент-серверных протоколов, таких как TELNET, требуется
    двухшаговая процедура для входных и выходных соединений;
\item  более высокая стоимость по сравнению с фильтрующими
    маршрутизаторами.
\end{itemize}

\chapter{Основные схемы сетевой защиты на базе межсетевых экранов}
При подключении корпоративной или локальной сети к глобальным сетям
администратор сетевой безопасности должен решать следующие задачи:

\begin{itemize}
\item  защита корпоративной или локальной сети от
    несанкционированного доступа со стороны глобальной сети;
\item скрытие информации о структуре сети и ее компонентов от
    пользователей глобальной сети;
\item  разграничение доступа в защищаемую сеть из глобальной
    сети и из защищаемой сети в глобальную сеть.
\end{itemize}

Необходимость работы с удаленными пользователями требует установления
жестких ограничений доступа к информационным ресурсам защищаемой
сети. При этом часто возникает потребность в организации в составе
корпоративной сети нескольких сегментов с разными уровнями
защищенности:

\begin{itemize}
\item  свободно доступные сегменты;
\item   сегмент с ограниченным доступом;
\item   закрытые сегменты.
\end{itemize}

Для защиты корпоративной или локальной сети применяются следующие
основные схемы организации межсетевых экранов:

\begin{itemize}
\item  межсетевой экран --- фильтрующий маршрутизатор;
\item  межсетевой экран на основе двупортового шлюза;
\item  межсетевой экран на основе экранированного шлюза;
\item  межсетевой экран --- экранированная подсеть.
\end{itemize}

\section{Межсетевой экран  --- фильтрующий маршрутизатор}
Межсетевой экран, основанный на фильтрации пакетов, является самым
распространенным и наиболее простым в реализации. Он состоит из
фильтрующего маршрутизатора, расположенного между защищаемой и
глобальной сетями (рис.~\ref{fig:gor:2}).
\begin{center}
\begin{figure}[!htp]
\centerline{\includegraphics[width=0.8\textwidth]{21.eps}}
\caption{Межсетевой экран на основе фильтрующего маршрутизатора}
\label{fig:gor:2}
\end{figure}
\end{center}

Фильтрующий маршрутизатор сконфигурирован для блокирования или
фильтрации входящих и исходящих пакетов на основе анализа их адресов и
портов.

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть
Internet, в то время как большая часть доступа к ним из Internet
блокируется. В принципе фильтрующий маршрутизатор может реализовать
любую из политик безопасности. Однако если маршрутизатор не фильтрует
пакеты по порту источника и номеру входного и выходного порта, то
реализация политики <<запрещено все, что не разрешено в явной форме>>
может быть затружнено.

Недостатки межсетевых экранов на основе фильтрующего маршрутизатора:
\begin{itemize}
\item  сложность правил фильтрации;
\item  невозможность полного тестирования правил фильтрации;
\item  практически отсутствующие возможности регистрации событий;
\item  каждый хост-компьютер, связанный с сетью Internet,
    нуждается в своих средствах усиленной аутентификации.
\end{itemize}

\section{Межсетевой экран на основе двупортового шлюза}
Межсетевой экран на базе двупортового прикладного шлюза включает
двудомный хост-компьютер с двумя сетевыми интерфейсами. При передаче
информации между этими интерфейсами и осуществляется основная
фильтрация. Для обеспечения дополнительной защиты между прикладным
шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор
(рис.~\ref{fig:gor:3}). В результате между прикладным шлюзом и маршрутизаторам
образуется внутренняя экранированная подсеть (DMZ~--- демилитаризованная
зона). Эту подсеть можно использовать для размещения доступных извне
информационных серверов.

\begin{figure}[!htp]
\centerline{\includegraphics[width=0.8\textwidth]{3.eps}}
\caption{Межсетевой экран с прикладным шлюзом и фильтрующим маршрутизатором}
\label{fig:gor:3}
\end{figure}


В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором
прикладной шлюз полностью блокирует трафик IP между сетью Internet и
защищаемой сетью. Только полномочные сервера-посредники, располагаемые
на прикладном шлюзе, могут предоставлять услуги и доступ
пользователям.

Данный вариант межсетевого экрана реализует политику безопасности,
основанную на принципе <<запрещено все, что не разрешено в явной
форме>>, при этом пользователю не доступны все службы, кроме тех, для
которых определены соответствующие полномочия. Такой подход
обеспечивает высокий уровень безопасности, поскольку маршруты к
защищенной подсети известны только межсетевому экрану и скрыты от
внешних систем.

Этот межсетевой экран может требовать от пользователей применения
средств усиленной аутентификации, а также регистрации доступа, попыток
зондирования и атак системы нарушителем.

\section{Межсетевой экран на основе экранированного шлюза}
Межсетевой экран на основе экранированного шлюза объединяет
фильтрующий маршрутизатор и прикладной шлюз, размещаемый со стороны
внутренней сети. Прикладной шлюз реализуется на хост-компьютере и
имеет только один сетевой интерфейс (рис.~\ref{fig:gor:4}).

В этой схеме первичная безопасность обеспечивается фильтрующим
маршрутизатором. Пакетная фильтрация в фильтрующем маршрутизаторе
может быть реализована одним из следующих способов:
\begin{itemize}
\item позволять внутренним хост-компьютерам открывать
    соединения с хост-компьютерами в сети Internet для определенных
    сервисов;
\item  запрещать все соединения от внутренних хост-компьютеров.
\end{itemize}


\begin{figure}[!htp]
\centerline{\includegraphics[width=0.8\textwidth]{41.eps}}
\caption{Межсетевой экран с экранированным шлюзом}
\label{fig:gor:4}
\end{figure}
Эти подходы можно комбинировать для различных сервисов, разрешая
некоторым сервисам соединение непосредственно через пакетную
фильтрацию, в то время как другим только непрямое соединение через
полномочные серверы-посредники. Все зависит от конкретной политики
безопасности, принятой во внутренней сети.

Межсетевой экран, выполненный по данной схеме, получается более
гибким, но менее безопасным по сравнению с межсетевым экраном с
прикладным шлюзом на базе двудомного хост-компьютера. Это обусловлено
тем, что в схеме межсетевого экрана с экранированным шлюзом существует
потенциальная возможность передачи трафика в обход прикладного шлюза
непосредственно к системам локальной сети.

Основной недостаток схемы межсетевого экрана с экранированным шлюзом
заключается в том, что если атакующий нарушитель сумеет проникнуть в
хост-компьютер, то перед ним окажутся незащищенные системы внутренней
сети. Другой недостаток связан с возможной компрометацией
маршрутизатора. Если маршрутизатор окажется скомпрометированным,
внутренняя сеть станет доступна атакующему.

\section{Межсетевой экран --- экранированная подсеть}
Межсетевой экран, состоящий из экранированной подсети, представляет
собой развитие схемы межсетевого экрана на основе экранированного
шлюза. Дня создания демилитаризованной зоны (экранированной подсети)
используют два экранирующих маршрутизатора (рис.~\ref{fig:gor:5}). Внешний
маршрутизатор располагается между сетью Internet и экранируемой
подсетью, а внутренний – между экранируемой подсетью и защищаемой
внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а
также может включать информационные серверы и другие системы,
требующие контролируемого доступа.

\begin{figure}[!htp]
\centerline{\includegraphics[width=0.9\textwidth]{5.eps}}
\label{fig:gor:5}
\caption{Межсетевой экран --- экранированная подсеть}
\end{figure}
Внешний маршрутизатор защищает от сети Internet как экранированную
подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно
следующим правилам:
\begin{itemize}
\item   разрешается трафик от объектов Internet к прикладному шлюзу;
\item   разрешается трафик от прикладного шлюза к Internet;
\item   разрешается трафик электронной почты от Internet к серверу электронной почты;
\item   разрешается трафик электронной почты от сервера электронной почты к Internet;
\item   разрешается трафик FTP от Internet к информационному серверу;
\item   запрещается остальной трафик.
\end{itemize}
Внешний маршрутизатор запрещает доступ из Internet к системам
внутренней сети и блокирует весь трафик к Internet, идущий от систем,
которые не должны являться инициаторами соединений.

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так
и от экранированной подсети. Он управляет трафиком к системам
внутренней сети и от них в соответствии со следующими правилами:
\begin{itemize}
\item  разрешается трафик от прикладного шлюза к системам сети;
\item  разрешается прикладной трафик от систем сети к прикладному шлюзу;
\item  разрешается трафик электронной почты от сервера электронной почты к системам сети;
\item   разрешается трафик электронной почты от систем сети к серверу электронной почты;
\item   разрешается трафик FTP от систем сети к информационному серверу;
\item   запрещается остальной трафик.
\end{itemize}
Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого
экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже
если атакующий каким-то образом проник в хост-компьютер прикладного
шлюза, он должен еще преодолеть внутренний маршрутизатор. Прикладной
шлюз может включать программу усиленной аутентификации.

Межсетевой экран с экранированной подсетью имеет и недостатки:
\begin{itemize}
\item пара фильтрующих маршрутизаторов нуждается в большом
    внимании для обеспечения необходимого уровня безопасности,
    поскольку из-за ошибок при их конфигурации могут возникнуть
    провалы в безопасности всей сети;
\item существует принципиальная возможность доступа в обход
    прикладного шлюза.
\end{itemize}

\section{Применение межсетевых экранов для организации виртуальных
  корпоративных сетей}
Некоторые межсетевые экраны позволяют организовать виртуальные
корпоративные сети. Несколько локальных сетей, подключенных к
глобальной, объединяются в одну виртуальную корпоративную сеть. Схема
применения межсетевых экранов в составе виртуальных корпоративных
сетей показана на рис.~\ref{fig:gor:6}. Передача данных между этими локальными
сетями производится прозрачным образом для пользователей локальных
сетей. Конфиденциальность и целостность передаваемой информации должны
обеспечиваться при помощи средств шифрования, использования цифровых
подписей и т.п. При передаче данных может шифроваться не только
содержимое пакета, но и некоторые поля заголовка.

\begin{figure}[!htp]
\centerline{\includegraphics[width=0.8\textwidth]{61.eps}}
\caption{Схема виртуальной корпоративной сети.}
\label{fig:gor:6}
\end{figure}


\chapter*{Заключение}
\addcontentsline{toc}{chapter}{Заключение}

Фильтрация сетевого трафика является основной функцией межсетевых
экранов и позволяет администратору безопасности сети централизованно
осуществлять необходимую сетевую политику безопасности в выделенном
сегменте IP-сети. То есть, настроив соответствующим образом межсетевой
экран, можно разрешить или запретить пользователям как доступ из
внешней сети к соответствующим службам хостов или к хостам,
находящихся в защищаемом сегменте, так и доступ пользователей из
внутренней сети к соответствующим ресурсам внешней сети.

Межсетевые экраны делают возможной фильтрацию входящего и исходящего
трафика, идущего через систему. Межсетевой экран использует один или
более наборов <<правил>> для проверки сетевых пакетов при их входе или
выходе через сетевое соединение, он или позволяет прохождение трафика
или блокирует его. Межсетевые экраны могут серьезно повысить уровень
безопасности хоста или сети. Они могут быть использованы для
выполнения следующих задач:

\begin{itemize}
\item  Для защиты и изоляции приложений, сервисов и машин во
    внутренней сети от нежелательного трафика, приходящего из внешней
    сети Internet.
\item  Для ограничения или запрещения доступа хостов внутренней
    сети к сервисам внешней сети Internet.
\item Для поддержки преобразования сетевых адресов (network
    address translation, NAT), что позволяет использование во
    внутренней сети приватных IP адресов (либо через один выделенный
    IP адрес, либо через адрес из пула автоматически присваиваемых
    публичных адресов).
\end{itemize}


% Список литературы делается либо с помощью BiBTeX, либо так. как
% показано ниже (для правильного размещения элементов библиографии
% читайте соответствующий ГОСТ)

% \begin{thebibliography}{99}
% \bibitem{lit1}  \textit{Медведовский И. Д., Семьянов П. В., Платонов
% В. В.} Атака через Internet.--- М: НПО Мир и семья-95, 1997.
% \bibitem{lit2} \textit{Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф.} Защита информации в компьютерных системах и сетях.
% \end{thebibliography}

\clearpage


%%% Local Variables:
%%% mode: latex
%%% coding: utf-8-unix
%%% End:
